Keynote SSTIC 2009 – Airbus

Présentation : Pascal ANDREI

En charge de la sureté des avions chez Airbus.Cette activité est relativement nouvelle, pour l’anecdote, l’équipe a été aidée par un ancien « hacker » pour sécuriser leurs sites (satellites etc).

Un point important de la présentation : différence entre Safety et Security

Safety (sécurité) Respecter les réglementations, gérer les pannes (températures, pannes matérielles, etc), envoyer automatiquement un rapport de panne au sol en cas d’avarie, et globalement tout ce qui touche à l’avion en lui-même.

Sécurity (sûreté) Se protéger des actes malveillants. Beaucoup moins réglementé a l’heure actuelle. Les menaces sont diverses, allant des clandestins (personnes ou bagages), ou encore vis à vis des attaques depuis le sol (missiles).

Mais une nouvelle menace virtuelle émerge (intelligence économique, attaques du système d’information de l’avion), piratage des films passés dans l’avion, des feux de signalisation de l’avion, etc, mais sans impact sur la sécurité (safety).

Afin de contrer ces nouvelles menaces, des mesures sont maintenant mises en place, comme dans n’importe quel SI. Par exemple, une PKI est déployée sur les A380 (tous les logiciels sont signés, mais aussi liste des passagers et toutes les informations utilisées sur le SI de l’appareil)

Des tests d’intrusion ont été réalisés sur ce périmètre, ce qui a permis de mettre en évidence des failles existantes, et les corriger pour assurer la sûreté des appareils.

Dans une démarche plus pro-active, des solutions pour suivre les passagers depuis le retrait du billet jusqu’à leur place dans l’avion (vidéo, reconnaissance faciale) sont à l’étude. Il s’agit la d’interconnecter l’avion avec l’aéroport, pour partager un maximum d’informations, et renforcer la sureté à bord de l’appareil.

L’aspect retroactif est difficile à mettre en place (beaucoup trop d’appareils déployés, vieilles technologies), mais la sureté est de plus en plus présente, surtout sur les nouveaux avions.

Les problématiques sont nouvelles, les technologies et les besoins aussi, nécessitant des équipes de sureté à la pointe de la technologie des systèmes d’information.